Web-based Malware Scanners

Bachelor Studiengang IT Security

Manuel Graindl, BSc (Jg. 2013/2016)

Betreuer: Dipl.-Ing. Daniel Haslinger, BSc

Ausgangslage

Mit der stetig steigenden Anzahl von Webseiten hat sich Shared Webhosting als attraktive Möglichkeit herauskristallisiert, den Auftritt im Internet sicherzustellen. Der Grund dafür ist, dass es wesentlich günstiger ist, die eigene Webseite hosten zu lassen, als einen eigenen privaten Webserver zu betreiben. Die große Popularität von Shared Webhosting führt allerdings dazu, dass viele Webseiten von Anbieterinnen und Anbietern betrieben werden, welche wenig oder keinen sicherheitstechnischen Hintergrund haben. Daher sind diese ein attraktives und einfaches Ziel für AngreiferInnen. Weiters bemerken Webhosting-AnbieterInnen sehr oft nicht, wenn von ihnen gehostete Webseiten kompromittiert sind und führen daher auch keine Aktionen durch, um diese zu bereinigen. Ein weiteres Problem ist, dass viele AnbieterInnen keine regelmäßigen Scans durchführen, um Malware auf dem Server zu entdecken.

Ziel

Das Ziel dieser Bachelorarbeit ist es, die Herausforderungen der Malwareerkennung und die momentanen Möglichkeiten zur Malwareerkennung im Shared-Webhosting-Bereich zu ermitteln. Es wird nach dem Grund dafür gesucht, dass es noch immer „Best Practice“ ist, keinen Malware-Scanner auf einem Webserver zu installieren. Weiters werden momentan verfügbare Malware-Scanner getestet und verglichen.

Ergebnis

In dieser Bachelorarbeit wurde die Problematik der Malwareerkennung auf Shared-Webhosting-Servern behandelt. Der Fokus lag auf frei zu verwendenden Malware-Scannern, welche auf einem Linux-Webserver betrieben werden. Es wurde gezeigt, dass Malware-Scanner kein Allheilmittel gegen Malware sind. Momentan gängige Malware-Scanner können Malware erst erkennen, wenn sich diese bereits auf dem Server befindet. Weiters wurde gezeigt, wie Server Hardening und Malware-Scanner sich gegenseitig ergänzen, um das Kompromittieren eines Servers zu verhindern.

Die Malware-Scanner Linux Malware Detect, ClamAV, Sophos AV und Comodo AV wurden in Hinsicht auf Malware-Erkennungsrate, Scan-Geschwindigkeit und Auswirkung auf Systemressourcen getestet und verglichen. Hierbei hat sich herausgestellt, dass lediglich einer der vier getesteten Malware-Scanner in der Lage war, mehr als 50 Prozent der Malware-Proben zu erkennen.